删除CNNIC根证书的上网安全教程(110409更新)

删除CNNIC根证书的上网安全教程(110409更新)删除CNNIC根证书的上网安全教程,20110409更新完整教程,内容包括如何删除(停用)系统或各种流行的浏览器中的CNNIC证书的方法,为了上网的安全和安全使用网上银行帐号等,建议国内和国外用户都删除(停用)CNNIC证书。美博园郑重推荐,这是目前最完整的删除CNNIC根证书安全上网的教程。

2011-04-09 如何删除(停用)系统或浏览器中的CNNIC证书V 1.32

美博园本地下载:删除CNNIC证书V 1.32(deletecnnic.zip)
文件: deletecnnic.zip
大小: 582,639
MD5: 89280F2EAFC2BA7EAD131CBA018581C5
SHA1: 56C6106ADC0F15E8CAC364B14361D6B4BE262CB5

网盘下载(MediaFire网盘): 删除CNNIC证书V 1.32(deletecnnic.zip)

-----下面教程中缺Chrome浏览器屏蔽CNNIC CA证书的说明,补充在这里-------------
Chrome浏览器中CNNIC CA的屏蔽方法

第一步.打开Chrome
第二步.点右上角的小起子图标打开主菜单后点选项。
第三步.在高级设置选项卡拉到最下,会看见证书管理相关选项,点进去。
第式步.进入证书管理页面后点到“受信任的根证书颁发机构”选项卡,你会看见CNNIC ROOT和Entrust的证书。
第五步.先从CNNIC开始,双击“CNNIC ROOT”,在弹出菜单中选 详细信息===>编辑属性。
第六步.考虑到保不准又会从什么地方下载CNNIC的证书,所以不建议删除该证书,只要将其“禁用”就可以了。
第七步.一路确定,退回到证书列表,接着禁用Entrust证书。先从Entrust.net Certification Authority (2048)开始。
第八步.选择“扩展的验证”选项卡。可以以看到文本框里的一串数字,根据解释,基本可以确定那个CNNIC的。点选那串数字,然后删除OID。OK!
第九步.一路确定,剩下的Entrust.net Secure Server Certification Authority同样方法解决。

--------------------------- 补充-------------------------------------------

补充:需要删除的 CNNIC 证书包括:
CNNIC ROOT
CNNIC SSL (不是都有这个)
China Internet Network Information Center EV Certificates Root (CNNIC 的新证书)

----------- 2011-04-09 之前的文章描述 -----------------

一、为什么要删除(停用)系统中的CNNIC证书(CNNIC根级证书的危害性)

CNNIC就是中国互联网络信息中心,由于其强权霸道的作风,CNNIC 在中国网民中被称为最大的流氓机构,Firefox和微软在最近的根证书升级列表里面将CNNIC列为“受信任的根证书发行机构”。这样,以后通过https协议(即以前的安全保障ssl加密)访问经过CNNIC颁发证书的网站将不会觉察到任何告警,用户也不需要在像安装某些软件时导入根证书。因为一些人控制了国内域名服务,随意封网,咔网,所以它们做一个假的网站对国内用户攻击就非常容易了,你的Firefox浏览器或IE浏览器访问时不会跳出任何警告而直接让你去登陆,而以前你的 Firefox会拒绝访问的,也就是说以前有些人做不到的攻击现在可以成为现实了。为避免受其害,下面给出解决方法。

二、如何删除WINDOWS系统中的CNNIC证书

此方法适用于基于微软CA目录的浏览器,这类浏览器包括IE系列(微软公司)、Chrome(谷歌公司)、Safari(苹果公司)、Dragon(Comodo公司)

第一步、导入CNNIC证书到证书管理器中的信任区域,并停用证书

1 下载CNNIC证书:

下载CNNIC证书,解压后,将会得到CNNIC证书的三个文件:
CNNICROOT.crt
CNNICSSL.crt
Entrust.netSecureServerCertificationAuthority.crt(注:序列号37:4A:D2:43)

美博园本地下载证书:CNNIC证书下载
文件: CNNICSSL.rar
大小: 3,439
MD5: 83FC7E194E70669EFF17B25919AF8710
SHA1: A64E2DE444862B894F7E8F2D56E6AE81701EDFBF

2 打开操作系统的证书管理器:

鼠标点击 左下角的“开始”---> “运行” --->输入certmgr.msc --->确定
此时已打开Windows的证书管理器。

3 安装证书到受信任的根证书颁发机构栏目中,然后再停用证书:

分别双击这三个文件,会出现安装界面,按提示安装,在安装过程中,一直选中默认的设置即可。
即: 双击证书文件-->安装证书-->下一步--->点选:根据证书类型,自动选择证书存储区--->下一步--->完成----提示导入成功。
如果在此完成过程中,系统防火墙出现警告提示,那么请选择肯定的答复是(Y)

安装后,
CNNIC ROOT和Entrust.net Secure Server Certification Authority位于证书管理器中的在受信任的根证书颁发机构------证书 目录下,
CNNICSSL在中级证书颁发机构-----证书 目录下,
(注:在win7中,这三个证书都出现在 中级证书颁发机构-----证书 目录下)

现在停用此三个证书文件,

方法是:分别鼠标右键点击条目---点属性---属性菜单打开---选择停用这个证书的所有目的(I)(注:在win7中,禁用这个证书的所有目的(I))--->确定

第二步、安装证书到“不信任的证书”区域:

分别双击这三个文件按提示安装,在安装过程中,一直选中默认的设置:
双击文件-->安装证书-->下一步-->点选:将所有的证书放到下列存储区域-->浏览-->选择“不信任的证书”-->下一步--->完成----提示导入成功。

如果在此完成过程中,系统提示警告提示,那么请选择肯定的答复是(Y)

第三步、其他说明

◆ 对于微软的CA目录的证书修改,大家容易产生歧义。或许要问到为什么要导入到信任区域,其实这个过程是配合第二步的停用此证书来使用的,因为如果信任区域中如果没有CNNIC证书的话,那么在网络活动中,在访问加密站点时,有可能系统会自动更新证书,使CNNIC证书加入系统中,并激活。如果在信任区域中有此证书但是处于停用状态的话,就不会自动更新。系统会知道你是不信任此证书的。

◆ 此方法适合于采用微软CA目录的浏览器,比如:IE、Chrome、Safari、Dragon

三、如何删除Firefox 3.6中的CNNIC证书

打开Firefox ,点击工具—>选项—>高级—>加密—>查看证书—>证书机构
找到CNNIC和CNNICSSL项,删除即可。然后再找到Entrust.net Secure Server Certification Authority项删除,注意此项可能有二个,删除序列号37:4A:D2:43的就可以了,查看序列号的方法是选中此项目后,点击“查看(V)”

特别说明:

1. 默认的Firefox的证书中可能没有CNNIC SSL 所以为避免其访问加密站点时自动安装進来,所以可以先行导入,导入方法是在Firefox的证书管理器中,按导入(M)按钮后,选取CNNICSSL.CRT,按默认操作导入即可;

2.在Firefox里对自带根证书执行“删除”操作命令,就相当于是禁用其所有目的,并不会将其删除.

验证方法是:比如点击选中CNNIC ROOT 后,再点击“编辑”按钮,可以查看到其信任设置框已取消了,即选框中的几个选项全部没有选中。

四、如何在opera浏览器中删除CNNIC证书

在Opera浏览器中也需要事先导入此三个证书:

方法是:启动Opera浏览器后,点工具—>首选项—>高级—>安全性—>管理证书—>颁发机构—>导入— >需要分别选择CNNICROOT.crt和Entrust.net Secure Server Certification Authority.crt—>安装,Entrust.net Secure Server Certification Authority安装后显示为Entrust.net Secure Server Certification Authority。CNNIC SSL.crt的证书也是在Opera中的证书管理器—>中间证书认证中导入安装的。

现在开始在Opera中停用此证书:

依次点击工具—>首选项—>高级—>安全性—>管理证书—>证书颁发机构(或中间证书认证)—>分别双击三个证书—>取消“允许连接到使用此证书的网站” —>确定。

五、为Mac的Safari屏蔽CNNIC根证书

CNNIC也作为Mac的系统根证书存在,我们可以把它设置为“不信任”。那么当你用Safari打开使用CNNIC签发的CA证书的网站时,同样会有提示。

具体方法如下:
1、打开“钥匙串”,并且在左侧面板找到“系统根证书”,然后在右侧面板找到“CNNIC”。
2、然后双击查看证书,在最上面有“信任”项目,点左边的三角将其打开。然后按照下图将证书设置为“永不信任”
3、然后会让你输入用户名和密码。输入后确定。这样,CNNIC就永远不会被信任了。

六、结果测试
一般按教程步骤操作正确的话,应该就没有问题了。

七、关于停用CNNIC证书的浏览器在线更新问题

请注意,所有停用CNNIC证书的浏览器,请继续保持其在线更新的状态,以保证浏览器处于最安全的状态,浏览器的在线自动更新并不影响已停用的CNNIC证书,CNNIC证书的停用状态仍然有效。

八、关于CNNIC根级证书三个证书存在状态的说明

CNNIC的根级证书一共有三个:分别是
CNNIC ROOT
CNNIC SSL
Entrust.net Secure Server Certification Authority(注:序列号37:4A:D2:43)

这三个证书文件在某些系统或是浏览器中并不一定会同时存在的,但是,在任何一个情况下,如果只存在其中的任意一个或是任意二个,那么都得按本文所陈述的方法处理。

九、关于部分银行网站使用CNNIC签名问题

对安全性要求较高的用户可以使用停用了CNNIC证书的浏览器来浏览海外网站,当不得不用CNNIC的根证书时,(因为国内的一些银行网站是使用了CNNIC证书的,但不建议在破网的系统里使用网上银行),可以换用其他没有停用CNNIC证书的浏览器。

如果你经常使用twitter,请参考:
禁用CA证书后twitter访问不正常的处理 - 美博园

補充:手機上的安全證書

还有手机上面也有好多证书啊,一定要去掉。
设置-安全-更多-受信任的CA
去掉cnnic, china internet network, 以及很多个的entrust证书。

原文链接:http://allinfa.com/delete-cnnic-root.html
※ 除声明转载,美博园文章均为"原创",软件版权归原作者,转载请以上面超链接注明来源!

网 友 留 言

22条评论 in “删除CNNIC根证书的上网安全教程(110409更新)”
  1. zixue says:

    求系统盘 要国外中文版, 谢谢

  2. says:

    你好 有没有一键安装系统盘

  3. zzzz says:

    还有手机上面也有好多证书啊,一定要去掉。
    设置-安全-更多-受信任的CA
    去掉cnnic, china internet network, 以及很多个的entrust证书。

  4. Anthony says:

    Chrome分析的Google.com证书比较诡异:没翻墙之前是Thawte SGC CA,翻墙之后是Google Internet Authority......而Gmail始终是Thawte SGC CA.请问这两个到底哪个是真正的Google证书

    • 美博园 says:

      @Anthony:
      这个事情一直确定不了,可能即使是google出现了问题也不愿意大张旗鼓的公开相关信息。以前有一个文章但也无定论:https://www.zuola.com/weblog/2010/01/1430.htm

      前不久,google根据各国的政策,调整google的域名转向和内容,也可能采用不同的证书。但这一点没有验证。google官方也没有说明。不知道有没有网友知道这个情况。

      不管怎样,保密的信箱和普通信箱分开用,保密的始终用加密代理登录就好。

  5. Anthony says:

    另外把gmail facebook twitter等网站的证书颁发机构记下来 每次登陆时核对一下 是不是也能防止证书被替换

    • 美博园 says:

      @Anthony:
      不知道那样实现是否简便。最好是做一个干净系统,做好系统镜像,是不是就恢复干净系统。浏览器也是如此,firefox浏览器上绿色的,可能不定期更新,其中只要备份好其书签即可。

  6. Anthony says:

    您好 听说现在Entrust已经将CNNIC从信任列表中删除了 所以不需要再屏蔽Entrust.net了 是真的吗 另外支付宝和网银的数字证书是否也需要删除 

  7. JF says:

    SOS!!!
    我安装的是深度DEEP_GhostXP3_v2012.01系统,在删除CNNIC时发现受信任的证书还有以下3个:Entrust.net.Certification Authority、Entrust Root Certification Authority-G2、Entrust Root Certification Authority,是否也应一并停用。另,在不受信任的证书里发现该系统已将www.google.com、mail.google.com、addons.mozilla.org、login.skype.com等列入,是否需要用“导出”恢复信任,并在不信任列表中将其删除。因我一直用无界等翻墙,故现用Google时似未感觉有其他障碍。。。盼复。。。

    • 美博园 says:

      @JF:
      1、删除后在列表中还是可能有Entrust.net.Certification Authority等的名称存在这是正常的,删除后你可以点“证书编辑”,其中的三个选项都没有勾选上就对了,这表明已经删除了;
      注意:Entrust.netSecureServerCertificationAuthority.crt有二个,删除的是序列号37:4A:D2:43 ,其他的Entrust开头的不用管。

      2、在不受信任的证书里发现该系统已将www.google.com,也许是为了防止自动转向到google.cn 。如果不影响你的使用就不用管它;

      3、建议:尽量使用微软原版系统,网上很容易找到,尽量不要使用ghost系统!这种ghost系统是经过改变的,如果没有可靠的来源,可能存在很不安全的因素。

  8. Andrzeja says:

    nocnnic
    CNNIC CA根证书移除工具 Remove "CNNIC ROOT" CA certificate
    CNNIC_CA根证书移除工具_X53.zip CNNIC_CA根证书移除工具_X53 Featured ; Feb 2010 ;12.7 KB ; https://code.google.com/p/nocnnic/downloads/list

    • 美博园 says:

      您好,一直期待这样的工具,要是该项目负责人能够根据本文教程,并增加win7和ff4,能够自动删除浏览器和系统中的CNNIC CA根证书,就是大功一件了,谢谢。

  9. ZH says:

    很全面,已经喀嚓了cnnic

  10. 一试 says:

    太好了,晚上回家就把他给咔掉!

Trackbacks 引用本文的链接

  1. 转全翻墙与反监控(2012年1月更新版) « 白小博  -  20 January, 2012
  2. 也门翻墙软件:Alkasir-加密Socks代理客户端(v1.2.462) « 翻墙KillGFW  -  9 September, 2011
  3. 删除CNNIC根证书的上网安全教程(110409更新) | 中国数字时代  -  13 April, 2011
  4. 删除CNNIC根证书的上网安全教程(110409更新) « 细节的力量  -  11 April, 2011

这里是你留言评论的地方

6 + 6 =

【您可以使用 Ctrl+Enter 快速回复】

Copyright © 2007 - 2017 , Design by 美博园. 版权所有. 【回到顶部】